Le partage d’information en matière de cybersécurité a diverses vertus dont celle de permettre aux autres de bénéficier de l’expérience, même malheureuse, de prédécesseurs, de s’informer des nouveaux modes d’attaque et bien d’autres informations. D’après une étude menée par Kaspersky et intitulée Managing your IT security team, deux tiers (66 %) des analystes de Threat Intelligence (TI) sont impliqués dans des communautés de partage d’information. Cependant, 52 % des professionnels de l’informatique et de la cybersécurité ne sont toujours pas autorisés par leurs organisations à partager les informations sur les cybermenaces, y compris au sein de ces communautés professionnelles.
Pour établir ce rapport, Kaspersky a interrogé plus de 5 200 professionnels de l’informatique et de la cybersécurité en vue de déterminer si d’autres entreprises étaient prêtes à collaborer et à partager de la Threat Intelligence. L’étude confirme d’abord qu’une communauté active de spécialistes n’hésite pas à partager leur expérience et expertise sur les réseaux. Les personnes interrogées, particulièrement celles chargées d’analyser les menaces, sont 45 % à être susceptibles d’être présentes sur des forums et blogs spécialisés, sur des forums sur le dark web (29 %) ou dans des groupes sur les réseaux sociaux (22 %).
Des partageurs qui bravent l’interdit
Cependant lorsqu’il s’agit de partager leurs propres résultats, seuls 44 % des répondants déclarent avoir effectivement partagé leurs recherches. Pour autant, lorsque leur entreprise autorise ce partage, 77 % des analystes de sécurité affirment saisir cette opportunité pour échanger sur leurs recherches. Dans le lot de ceux qui sont interdits de communication externe par leurs entreprises, quelques maquisards n’hésitent pas à braver l’interdit. Une petite minorité de 8 % des analystes en cybersécurité confirme avoir déjà partagé leurs recherches en Threat Intelligence (TI) quand bien même leur entreprise le leur interdit.
D’après les experts de Kaspersky, les motivations de cette interdiction ne sont pas toujours infondées : « les restrictions concernant le partage d’information sont motivées par la peur que si certaines informations sont publiées avant d’avoir pu y répondre, les cybercriminels réalisent qu’ils ont été détectés et changent de tactique », expliquent-ils.